2021년 콜로니얼 파이프라인 사태를 일으켰던 랜섬웨어의 후예가 최근 사납게 변모 중에 있다. 새로운 도구와 전략이 차용되고 있으며, 이런 진화를 바탕으로 피해자들의 목을 더 꼭 죄어온다. 이럴 때 IT 담당자들이 기억해야 할 것은 무엇인가.

[보안뉴스 문정후 기자] 보안 업체 스레트헌터팀(Threat Hunter Team)과 시만텍(Symantec)이 랜섬웨어 노베루스(Noberus)의 최신 동향에 대한 보고서를 발표했다. 노베루스는 블랙캣(BlackCat)으로도 불리는 랜섬웨어인데, 최근 운영자들이 새로운 도구를 들고 나타나 화제가 됐었다. 지난 4월 FBI는 노베루스가 최소 60개의 조직들을 감염시켰다고 발표했는데, 현 시점에서는 피해자가 훨씬 더 늘어났을 것으로 예상된다.


노베루스가 최근 들어 사용하기 시작한 도구는 엑스매터(Exmatter)와 임포(Eamfo)라고 하는 데이터 유출 도구다. 시만텍의 보고서에 따르면 이 두 도구들은 주로 크리덴셜을 훔쳐 해커들에게로 빼돌리는 데 사용된다고 한다. 노베루스는 이 도구들을 최근 업데이트 했고, 이러한 상황을 전반적으로 여러 보안 전문가들이 평가했다.

노베루스, 어떻게 작동하나?
노베루스는 다크사이드(DarkSide)와 블랙매터(BlackMatter)라는 랜섬웨어 패밀리들의 후예라고 할 수 있다. 다크사이드는 2021년 콜로니얼 파이프라인(Colonial Pipeline) 사태 때 사용되었던 랜섬웨어다. 시만텍의 보고서에 따르면 코어아이디(Coreid)라고 하는 랜섬웨어 대여 서비스 전문 집단이 이 랜섬웨어들의 개발에 책임이 있는 것으로 보인다고 한다.

노베루스는 2021년 11월 처음으로 발견됐다. 그리고 현재까지 여러 번의 업그레이드를 거쳤고, 암호화나 공격 효율성 면에서 놀랍게 향상됐다. 위에서 언급한 엑스매터의 최신 버전이 노베루스와 연계되어 사용된다는 사실이 발견된 건 8월의 일이다. 시만텍에 따르면 임포 역시 노베루스와 함께 사용되었다고 한다.

“노베루스 운영자들이 다른 랜섬웨어 운영자들과 다른 점은 표적에 따라 맞춤형 랜섬웨어 실행파일을 그 때 그 때 개발할 수 있다는 것”이라고 보안 업체 사이버시큐리티웍스(Cyber Security Works)의 CEO 아론 산딘(Aaron Sandeen)은 설명한다. “노베루스의 작동 메커니즘에는 자동화 기술이 그리 많이 포함되어 있지 않습니다. 표적을 이해하고, 그 후 가장 이상적인 공격법을 수작업으로 선택해 사용하죠.”

진화하는 랜섬웨어에 대응하기
전기전자학회(IEEE)의 수석 회원인 케인 맥클래드리(Kayne McGladrey)는 “노베루스의 업그레이드는 예상 외의 전개는 아니지만 꽤나 우려스러운 일”이라고 말한다. “랜섬웨어 자체를 업그레이드 한 게 아니라 부수적인 기능을 강화한 것은, 그 부분에서의 수익을 극대화 하겠다는 의도입니다. 이들은 랜섬웨어로 돈 버는 방법에 있어서 도가 텄습니다. 어디를 어떻게 공략하고 강화해야 하는지 잘 알고 있습니다. 수익의 일부를 그런 쪽으로 연구하고 조사는 데에 아낌없이 투자하고 있다는 소리이죠.”

보안 업체 클래로티(Claroty)의 부회장 조슈아 콜먼(Joshua Corman)도 비슷한 의견이다. “랜섬웨어 공격자는 이제 크기나 규모를 가리지 않고 공격하여 피해자를 만든다”고 말한다. “이들은 사이버 보안이 약한 조직들을 가지고 어떻게 돈을 버는지 잘 알고 있습니다. 그런데 보안 업계와 담당자들이 이 점을 잘 이해하지 못하고 있어요. 아직도 ‘누가 우리 회사를 굳이 노리겠어?’라는 생각이 만연합니다.”

그렇다고 노베루스가 방어하지도 못할 위협인 것은 아니다. 이미 IT 전문가들은 노베루스만이 아니라 다른 여러 랜섬웨어가 치고 들어올 틈을 좁히는 방법들을 충분히 가지고 있다. “가장 중요한 건 노베루스나 여러 해킹 단체들이 자주 노리는 소프트웨어와 취약점들에 대해 아는 겁니다. 그리고 그 취약점들이 조직 내에 존재하는지 파악하고 서둘러 패치를 적용해야 하죠. 이 부분만 잘 이행해도 랜섬웨어 공격자들을 상당히 귀찮게 만들 수 있습니다.” 산딘의 설명이다.

콜먼은 NIST와 같은 공공 기관에서 발행한 보안 실천 사항이나 프레임워크를 주의 깊게 살피고 진지하게 실천하는 것만으로도 랜섬웨어 공격을 충분히 막을 수 있다고 말한다. “다만 어느 기업이나 여러 권고 사항들을 실제 환경에 모조리 도입할 수 있는 건 아닙니다. 예산이 모자라는 경우가 있을 수도 있고, 인재가 없는 경우가 있을 수도 있지요. 그럴 때는 먼저 보안에 좋지 않은 조직 내 관습을 제거하는 것부터 시작하세요. 지원이 끝난 소프트웨어를 계속 사용한다거나, 디폴트 패스워드를 유지한다거나 하는 것들 말이죠.”

워싱턴대학 정보 대학원 교수인 앤드류 레이퍼즈(Andrew Reifers)는 “전문 인력을 배치할 수 없는 경우 보안 대행 서비스를 활용하라”고 권고한다. “보안 대행을 하는 보안 전문 업체들이 시장에 이미 수도 없이 많습니다. 내부 전문 인력을 갖출 수 없는 환경이라면 보안 전문 업체들과 서비스 계약을 맺는 게 맞습니다. 요즘 같은 때에 아무런 보안 전문 인력 없이 사업을 운영한다는 건 너무나 위험한 일이거든요.”

랜섬웨어는 쉬이 사라지지 않을 위협 요소이다. 공격자들은 기업들만이 아니라 의료 기관과 사회 기반 시설까지 표적으로 삼는다. “지난 30년 동안 공격자들은 그래도 사람들이 마시는 물이나 먹어야 하는 음식은 잘 건드리지 않았습니다. 병원 역시 공격하지 않는 게 일종의 암묵적 규칙 같은 것이었죠. 하지만 이제 그런 과거를 기억하는 공격자를 찾는 건 쉽지 않습니다. 이제는 돈이 된다면 닥치는 대로 공격합니다. 돈이면 다 되는 시대를 해커들까지도 받아들인 것이죠.”

주요 랜섬웨어 개발 조직인 코어아이디는 얼마 전 노베루스 랜섬웨어의 사용 규칙을 명시한 바 있다. 의료 기관과 교육 시설, 정부 기관 등은 공격하지 않는다는 내용이었다. 하지만 이것이 제대로 지켜질 가능성은 매우 낮아 보인다. 그런 식의 규칙을 수립하여 내세운 단체들은 수없이 많았지만, 자기 말을 제대로 지킨 단체는 단 하나도 없었기 때문이다.

랜섬웨어는 계속해서 변한다. 하지만 그 변화의 방향과 내용이 무엇이든, 결국 우리의 약한 부분을 파고든다는 점에서는 과거나 미래 모두 비슷할 것이다. 즉 우리가 튼튼해지면 어느 정도 대응할 수 있다는 것이다. 노베루스의 진화 역시 랜섬웨어 공격을 불가항력적인 것으로 만들지는 않는다. 아직은 랜섬웨어가 강해지는 게 아니라, 우리가 해야 할 일과 할 수 있는 일들이 남아 있다.

글 : 캐리 팔라디(Carrie Pallardy), IT 칼럼니스트
[국제부 문정후 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>